Un nuevo malware de botnet P2P dirigido a servidores SSH en todo el mundo

Investigadores de ciberseguridad  especificaron los detalles de una botnet sofisticada y multifuncional peer-to-peer (P2P) escrita en Golang que ha estado apuntando activamente a los servidores SSH desde enero de 2020.

Llamada » FritzFrog «, la modular, multiproceso y archivo- menos botnet ha violado más de 500 servidores hasta la fecha, infectando universidades conocidas en los EE. UU. y Europa, y una compañía ferroviaria, según un informe publicado por Guardicore Labs.

«Con su infraestructura descentralizada, que distribuye el control entre todos sus nodos,» Guardicore ‘s Ophir Harpaz dijo. «En esta red sin un solo punto de falla, los pares se comunican constantemente entre sí para mantener la red viva, resistente y actualizada».

Además de implementar un protocolo P2P patentado que se ha escrito desde cero, las comunicaciones se realizan a través de un canal cifrado, y el malware es capaz de crear una puerta trasera en los sistemas de las víctimas que otorga acceso continuo a los atacantes.

Una botnet P2P sin archivos

Aunque se han observado redes de bots basadas en GoLang , como Gandalf y GoBrut , FritzFrog parece compartir algunas similitudes con Rakos , otra puerta trasera de Linux basada en Golang que se descubrió anteriormente que se infiltraba en los sistemas de destino a través de intentos de fuerza bruta en los inicios de sesión SSH.

Pero lo que hace único a FritzFrog es que no tiene archivos, lo que significa que ensambla y ejecuta cargas útiles en la memoria, y es más agresivo al llevar a cabo ataques de fuerza bruta, al mismo tiempo que es eficiente al distribuir los objetivos de manera uniforme dentro de la botnet.

Una vez que se identifica una máquina objetivo, el malware realiza una serie de tareas que implican forzarla, infectar la máquina con cargas maliciosas en caso de una infracción exitosa y agregar a la víctima a la red P2P.

Para pasar desapercibido, el malware se ejecuta como ifconfig y NGINX, y comienza a escuchar en el puerto 1234 para recibir más comandos para su ejecución, incluidos aquellos para sincronizar a la víctima con la base de datos de pares de la red y objetivos de fuerza bruta.

Los propios comandos se transmiten al malware a través de una serie de aros diseñados para evitar la detección. El nodo atacante en la botnet primero se engancha a una víctima específica a través de SSH y luego usa la utilidad NETCAT para establecer una conexión con un servidor remoto

Además, los archivos de carga útil se intercambian entre nodos al estilo BitTorrent, empleando un enfoque de transferencia de archivos segmentados para enviar blobs de datos.